Как детектировать MitM атаку ?

ek-nfn · 13 апреля 2024, 09:28:38

В частности в локальной wi-fi сети. Есть у кого отработанные приемы ?

dzhoser · 13 апреля 2024, 09:46:22

Примеры, как могут «наследить» некоторые инструменты:

MITMf, по умолчанию меняет все HTTPS URL в HTMLкоде на HTTP. Выявляется по сравнению содержимого HTTP.
Zarp + MITMProxy, MITMProxy имеет функционал, позволяющий очищать HTTP сжатие, это применяется для прозрачности передаваемого трафика, эта связка выявляется по исчезновению ранее присутствующего сжатия
Responder, выявляется по внезапным изменениям в преобразовании ответов mDNS: неожиданный ответ; ответ является внутренним, а ожидается внешний; ответ отличен от ожидаемого IP
Но если мы говорим про внутреннюю локалюную сеть, то необходимо использовать таблицы ARP.

ek-nfn · 13 апреля 2024, 09:50:28

Цитата: dzhoser от 13 апреля 2024, 09:46:22Но если мы говорим про внутреннюю локалюную сеть, то необходимо использовать таблицы ARP.

существует какая-нибудь утилита, работающая в фоне и сообщающая о попытках подключения mitm ?

dzhoser · 13 апреля 2024, 09:52:58

Использование АRP понизит возможность использование данной атаки так как подделка MAC адреса вызовет конфликт в сети. Если не секрет какой у вас роутер?

13 апреля 2024, 09:55:48
Вы хотите ее именно детектировать или свести к минимуму ее применение?

ek-nfn · 13 апреля 2024, 10:00:35

Цитата: dzhoser от 13 апреля 2024, 09:52:58Если не секрет какой у вас роутер?

Интерес по защите и детектированию в открытых вай-фай сетях в общественных местах.

dzhoser · 13 апреля 2024, 10:04:42

Ну тут наверное только доверенный VPN. Если мы говорим про SSH, то это авторизация по ключу.

ek-nfn · 13 апреля 2024, 10:07:58

Цитата: dzhoser от 13 апреля 2024, 10:04:42Ну тут наверное только доверенный VPN. Если мы говорим про SSH, то это авторизация по ключу.

а по автоматическому детектированию что-нибудь существует ?

dzhoser · 13 апреля 2024, 10:10:27

Ну для детектирования нужен административный доступ к роутеру и его логам. Соответственно если мы не подключаемся к нему с таким доступам у нас только логи с нашего устройства. И тут ест сложность как мы определим что мы подключились именно к нужному роутеру, а не к устройству злоумышленника? Какие параметры нам сравнивать?

ek-nfn · 13 апреля 2024, 10:12:38

Цитата: dzhoser от 13 апреля 2024, 10:10:27Какие параметры нам сравнивать?

печально

dzhoser · 13 апреля 2024, 10:13:56

https://github.com/dirkjanm/mitm6 вот это инструмент посмотрите

13 апреля 2024, 12:56:25
Есть такой ещё инструмент https://github.com/cloudflare/mitmengine

ogost · 13 апреля 2024, 15:00:28

Про детектирование не знаю, но защиту знаю - VPN. В качестве которого в принципе можно хоть ssh туннель использовать, хоть свой сервер поднимать